Phoenix Contact Software ProConOs y MultiProg no disponen de autenticación

Fecha de publicación:

14/01/2015

Importancia:

5 - Crítica

Recursos afectados:

Todas las versiones de ProConOs y MultiProg.

Descripción:

ProConOs y MultiProg de Phoenix Contact Software permiten a cualquier usuario de la red interactuar con el proceso de control y cambiar su lógica.

Solución:

Por el momento no hay ninguna actualización que implemente autenticación, con lo cual se recomienda minimizar el acceso de red de los dispositivos, y emplear VPNs si es necesario el acceso remoto.

Detalle:

El protocolo de Phoenix Contact Software ha sido diseñado sin ningún método de autenticación, por lo que cualquiera con acceso a la red podría inyectar comandos al mismo.

Se ha asignado el CVE-2014-9195 a esta vulnerabilidad.

Referencias:

Phoenix Contact Software ProConOs and MultiProg Authentication Vulnerability

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Phoenix Contact Software ProConOs y MultiProg no disponen de autenticación

Múltiples vulnerabilidades por BrakTooth en productos de HMS

Múltiples vulnerabilidades en productos Mitsubishi Electric

XSS en el controlador Tracer SC de Trane

Exposición de información en INGEPAC DA AU

Múltiples vulnerabilidades en AUVESY Versiondog